Esercitazione: Configurare la registrazione Microsoft Intune per dispositivi iOS/iPadOS in Apple Business Manager
Usare Apple Business Manager con Microsoft Intune per semplificare e automatizzare la registrazione dei dispositivi per i dispositivi iOS/iPadOS acquistati tramite Apple Business Manager. La registrazione automatica dei dispositivi, che verrà configurata in questa esercitazione, consente la registrazione automatica sicura la prima volta che l'utente accende il dispositivo distribuendo il profilo di registrazione nel dispositivo in modalità over-the-air.
In questa esercitazione si apprenderà come:
- Ottenere un token di registrazione del dispositivo Apple
- Sincronizzare i dispositivi gestiti con Intune
- Creare un profilo di registrazione
- Assegnare il profilo di registrazione ai dispositivi
Al termine di questa esercitazione, i dispositivi saranno pronti per la distribuzione per la registrazione.
Prerequisiti
- Impostare l'autorità di gestione dei dispositivi mobili (MDM).
- Ottenere il certificato Apple MDM Push.
- Acquistare dispositivi nuovi o cancellati da Apple Business Manager.
- Aggiungere informazioni sull'acquisto nelle impostazioni di gestione dei dispositivi in Apple Business Manager.
Se non si dispone di una sottoscrizione Intune, è possibile iscriversi per ottenere un account di prova gratuito.
Passaggio 1: Aggiungere il server MDM
Creare un profilo server MDM per Microsoft Intune in Apple Business Manager. Il token scaricato in questo passaggio consentirà la connessione tra Microsoft Intune e Apple Business Manager in un passaggio successivo.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Passare a Dispositivi> perpiattaforma>iOS/iPadOS>Registrazione onboarding del> dispositivo.
Selezionare Token del programma di registrazione.
Selezionare Aggiungi.
Selezionare Accetto di concedere a Microsoft l'autorizzazione per l'invio di informazioni utente e dispositivo ad Apple.
Selezionare Scarica la chiave pubblica per scaricare il certificato della chiave pubblica del server (un file con estensione pem) nell'unità locale.
Selezionare Crea un token tramite Apple Business Manager e accedere ad Apple Business Manager con l'ID Apple aziendale.
Importante
Mentre si è in Apple Business Manager, non chiudere la scheda del browser con Microsoft Intune. Verrà visualizzata in un secondo momento.
Aggiungere un server MDM denominato TestMDMServer e scaricare il token del server in Apple Business Manager. Per informazioni dettagliate e istruzioni, vedere Collegamento a un server MDM di terze parti(apre la Guida utente di Apple Business Manager). Salvare il token del server in locale come file P7M (con estensione p7m). Passare quindi al passaggio 2: Assegnare i dispositivi.
Passaggio 2: Assegnare dispositivi
Mentre si è in Apple Business Manager, assegnare i dispositivi al nuovo server MDM (TestMDMServer o qualsiasi altro nome). Per informazioni dettagliate e istruzioni, vedere Assegnare, riassegnare o annullare l'assegnazione di dispositivi in Apple Business Manager.Per informazioni dettagliate e istruzioni, vedere Assegnare, riassegnare o annullare l'assegnazione di dispositivi in Apple Business Manager.For details and instructions, see Apple Business Manager User Guide. Al termine dell'assegnazione dei dispositivi, passare al passaggio 3: Caricare il token del server MDM.
Passaggio 3: Caricare il token del server MDM
Tornare all'interfaccia di amministrazione di Microsoft Intune per caricare il token del server MDM in Intune. Dopo aver caricato il token, Microsoft Intune possibile sincronizzare e registrare i dispositivi iOS/iPadOS assegnati a TestMDMServer.
- Per ID Apple immettere l'ID Apple usato per creare il token.
- In Token Apple caricare il token del server salvato in precedenza. Il file deve essere in formato P7M.
- Seleziona Avanti.
- Facoltativamente, applicare tag di ambito al token di registrazione per limitare ad altri amministratori l'accesso o l'applicazione di modifiche. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
- Seleziona Avanti.
- In Rivedi e crea selezionare Crea per completare il collegamento Microsoft Intune e Apple Business Manager.
Microsoft Intune si sincronizza automaticamente con Apple Business Manager. La visualizzazione dei dispositivi nell'interfaccia di amministrazione può richiedere fino a 12 ore. È possibile attendere la sincronizzazione di questi dispositivi o avviare manualmente la sincronizzazione. Per avviare la sincronizzazione manualmente, selezionare il token dall'elenco nell'interfaccia di amministrazione e quindi scegliereSincronizzazionedispositivi>.
Passaggio 4: Creare un profilo di registrazione Apple
Creare un profilo di registrazione per i dispositivi iOS/iPadOS di proprietà dell'azienda. Un profilo di registrazione del dispositivo definisce le impostazioni applicate a un gruppo di dispositivi durante la registrazione.
Selezionare il token nell'interfaccia di amministrazione e quindi scegliere Profili>Crea profilo>iOS/iPadOS.
Nella pagina Informazioni di base immettere TestProfile for Name e Testing ADE for iOS/iPadOS devices for Description (TestProfile per Nome e Test ADE per i dispositivi iOS/iPadOS per Description). Gli utenti non visualizzano questi dettagli.
Seleziona Avanti.
Nella pagina Impostazioni di gestione decidere se si vuole che i dispositivi vengano registrati con o senza affinità utente. L'affinità utente è progettata per i dispositivi che verranno usati da utenti specifici. Se gli utenti vogliono usare il Portale aziendale per servizi come l'installazione di app, scegliere Registra con affinità utente. Se gli utenti non hanno bisogno del Portale aziendale o si vuole effettuare il provisioning del dispositivo per molti utenti, scegliere Registra senza affinità utente.
Se si è scelto di eseguire la registrazione con Affinità utente, viene visualizzata l'opzione Seleziona dove gli utenti devono eseguire l'autenticazione . Decidere se si vuole eseguire l'autenticazione con Portale aziendale o Apple Setup Assistant.
- Portale aziendale: selezionare questa opzione per usare Multi-Factor Authentication, consentire agli utenti di modificare le password al primo accesso o richiedere agli utenti di reimpostare le password scadute durante la registrazione. Se si vuole che l'applicazione Portale aziendale venga aggiornata automaticamente nei dispositivi degli utenti finali, distribuire separatamente il Portale aziendale come app necessaria a questi utenti tramite il volume purchase program (VPP) di Apple.
- Assistente configurazione: selezionare questa opzione per usare l'autenticazione HTTP di base fornita da Apple tramite Apple Setup Assistant
Se si è scelto di eseguire la registrazione con Affinità utente e Eseguire l'autenticazione con Portale aziendale, viene visualizzata l'opzione Installa Portale aziendale con VPP. Se si installa il Portale aziendale con un token VPP, l'utente non dovrà immettere un ID Apple e una password per scaricare il Portale aziendale dall'App Store durante la registrazione. Scegliere Usa token: in Installa Portale aziendale con VPP per selezionare un token VPP con licenze gratuite del Portale aziendale disponibili. Se non si vuole usare VPP per distribuire il Portale aziendale, scegliere Non usare VPP.
Se si è scelto di eseguire la registrazione con Affinità utente, Eseguire l'autenticazione con Portale aziendale e Installare Portale aziendale con VPP, decidere se eseguire il Portale aziendale in modalità app singola fino all'autenticazione. Con questa impostazione, è possibile assicurarsi che l'utente non abbia accesso ad altre app fino a quando non completa la registrazione aziendale. Se si vuole limitare l'utente a questo flusso fino al completamento della registrazione, scegliere Sì in Esegui Portale aziendale in modalità app singola fino all'autenticazione.
In Impostazioni Gestione dispositivi scegliere Sì in Supervisione (se si sceglie Registra con affinità utente, questa opzione viene impostata automaticamente su Sì). I dispositivi con supervisione offrono la maggior parte delle opzioni di gestione per i dispositivi iOS/iPadOS aziendali.
Scegliere Sì in Registrazione bloccata per assicurarsi che gli utenti non possano rimuovere la gestione del dispositivo aziendale.
Scegliere un'opzione in Sincronizza con computer per determinare se i dispositivi iOS/iPadOS saranno in grado di eseguire la sincronizzazione con i computer.
Per impostazione predefinita, Apple assegna al dispositivo il nome con il tipo di dispositivo, ad esempio iPad. Se si vuole fornire un modello di nome diverso, scegliere Sì in Applica modello di nome dispositivo. Immettere il nome da applicare ai dispositivi, dove le stringhe {{SERIAL}} e {{DEVICETYPE}} sostituiscono il numero di serie e il tipo di dispositivo di ogni dispositivo. In caso contrario, scegliere No in Applica modello di nome dispositivo.
Scegliere Avanti.
Nella pagina Assistente configurazione, reparto Esercitazione per Nome reparto. Questa stringa è ciò che gli utenti vedono quando toccaNo Informazioni sulla configurazione durante l'attivazione del dispositivo.
In Telefono del reparto immettere un numero di telefono. Questo numero viene visualizzato quando gli utenti toccano il pulsante Bisogno di assistenza durante l'attivazione.
È possibile visualizzare o nascondere varie schermate durante l'attivazione del dispositivo. Per un'esperienza di registrazione più semplice, impostare tutte le schermate su Nascondi.
Scegliere Avanti per passare alla pagina Rivedi e crea . Selezionare Crea.
Passaggio 5: Assegnare un profilo di registrazione ai dispositivi iOS/iPadOS
Prima della registrazione è necessario assegnare un profilo del programma di registrazione ai dispositivi. Questi dispositivi vengono sincronizzati con Intune da Apple e devono essere assegnati al token del server MDM appropriato nel portale ABM, ASM o ADE.
- Nell'interfaccia di amministrazione scegliere il token dall'elenco.
- Selezionare Dispositivi e scegliere i dispositivi da assegnare.
- Selezionare Assegna profilo.
- In Assegna profilo scegliere un profilo per i dispositivi >Assegna.
Nota
Assicurarsi che le restrizioni relative al tipo di dispositivo in Restrizioni di registrazione non abbiano i criteri predefiniti Tutti gli utenti impostati per bloccare la piattaforma iOS/iPadOS. Questa impostazione causerà l'esito negativo della registrazione automatica e il dispositivo verrà visualizzato come Profilo non valido, indipendentemente dall'attestazione dell'utente. Per consentire la registrazione solo da dispositivi gestiti dall'azienda, bloccare solo i dispositivi di proprietà personale, che consentiranno la registrazione dei dispositivi aziendali. Microsoft definisce un dispositivo aziendale come un dispositivo registrato tramite un programma di registrazione dispositivi o un dispositivo immesso manualmente in Identificatori di dispositivo aziendali.
Passaggio 6: Distribuire i dispositivi agli utenti
È stata configurata la gestione e la sincronizzazione tra Apple e Intune e è stato assegnato un profilo per consentire la registrazione dei dispositivi ADE. È ora possibile distribuire i dispositivi agli utenti. I dispositivi con affinità utente richiedono che a ogni utente sia assegnata una licenza di Intune.
Passaggi successivi
Altre informazioni sulle altre opzioni disponibili per la registrazione dei dispositivi iOS/iPadOS sono disponibili.